システム運用のリスク管理ソリューションを提供するエンカレッジ・テクノロジ株式会社(本社:東京都中央区、代表取締役社長兼CEO:石井 進也、以下「当社」)は、株式会社アプラス(東京本部:東京都千代田区、代表取締役社長:渡部 晃、以下「アプラス」)に対し、次期カード決済システムに対する特権アカウント※1アクセス&証跡基盤として、当社製品「ESS AdminControl」、「ESS AutoAuditor」「ID Inspector」および「ESS REC」を納入したことを発表いたします。
アプラスは1956年より、「大阪信用販売株式会社」として近畿圏を中心に事業を展開、全国にネットワークを広げる過程で商号を「株式会社アプラス」と変更し、現在は新生銀行グループのアプラスフィナンシャルの連結子会社としてショッピングクレジット事業、カード事業、決済事業を担っています。
アプラスでは、2016年からの中期事業計画の中で、革新的な金融サービスの提供の実現を目指すにあたり、IT体制の強化としてカード決済システムの刷新による業務の高度化を行う計画です。この次期カード決済システムに対するPCI DSS※2への準拠の一環として、システム開発・運用における特権アカウントのアクセス&証跡管理基盤構築のため当社製品をご採用いただきました。
アプラスがご採用を決めた主な理由は下記の通りです。
●克明な証跡の確保が可能
システム開発・運用者が対象システムに対して作業を行う際に、どのような操作を行ったのか克明に記録することが可能。記録内容は動画とテキストの2種類のため、直感的にわかりやすい操作内容の記録に加え、テキスト情報による検索性も併せ持つ。(ESS RECおよび付随するオプション製品)
●事前申請・承認によるアクセスの徹底とパスワード隠蔽
作業者が対象システムに特権アカウントを使用してアクセスをする際には、事前の申請と管理者による承認がなければアクセスできない仕組みができるため、不正・不要なアクセスを防ぐことが可能。
また、作業時にはパスワードを隠ぺいした状態での特権アカウントの使用が可能な為、パスワードの管理不備による特権アカウント情報の漏えい等のリスクを低減できる。(ESS AdminControl)
●申請内容と操作記録の紐づけ・突合
特権アカウントの使用申請と実際の作業内容の証跡が確実に紐づけされ、申請内容と実際の作業内容に差異がないか容易に比較が可能であり、特に留意すべき作業について未申請で行われた場合にアラートされる仕組みが存在する。(ESS AutoAuditor)
●PCI DSS v3.2対応
PCI DSSの要件に新たに追加されたコンソール外からの管理者アクセスに対する多要素認証に対して、既存のシステムのカスタマイズ等を行わずにICカードを使用して対応できること。
ESS RECと連携することで、ログオン情報に操作内容を紐づけることも可能。(ID Inspector)
●豊富な実績
他の金融機関でも、PCI DSS準拠やFISC対応を目的として、多数の採用実績があること。
また国産の製品であるため、開発、販売からサポートまですべて一貫して国内で行っていることから信頼性の高さを感じた。
図.アプラスの「クレジット決済処理基幹システム」構築のイメージ
https://www.atpress.ne.jp/releases/123046/img_123046_1.jpg
次期カード決済システムは、今後の構築フェーズにおいても特権アカウントの濫用や不正使用によるカード情報への不正アクセスのリスクに対処するため、当社製品によるアクセス&証跡基盤を構築し、開発者によるシステムへのアクセスの際に適用する予定です。また、システム運用開始後は、システム全般に対するアクセス&証跡基盤に位置づけられる予定です。
当社では、アプラスにおけるESS AdminControl、ESS AutoAuditor、ID InspectorおよびESS RECの、システム構築から完成後の運用に渡り、展開をご支援するとともに、機能改善、機能強化に取り組んでまいります。
■当社について
2002年に創業。金融、通信などの社会インフラの一端を担う大規模システム運用管理及び運用統制を実現するソフトウェアの開発・販売を手掛けています。システム証跡監査ツール7年連続市場シェア1位※3を確保している「ESS REC」をはじめ、当社ソフトウェアは、累計で約500社の企業で採用されています。
社名 : エンカレッジ・テクノロジ株式会社
(東京証券取引所マザーズ 証券コード:3682)
代表者 : 代表取締役社長兼CEO 石井 進也
本社 : 東京都中央区日本橋浜町3-3-2 トルナーレ日本橋浜町7F
URL : http://www.et-x.jp/
資本金 : 5億738万円(2016年9月末)
事業内容: コンピュータシステムソフトウェアの開発、保守ならびに販売
コンピュータ運用管理に関するコンサルティング
コンピュータ運用管理に関するBPOサービス
※1 特権アカウントとは、システムの維持管理に欠かせない、管理者権限を有する特別なアカウントです。システムに対して高い権限を持つ特権アカウントの濫用は、システム障害や情報漏洩など致命的なインシデントを引き起こす可能性を含んでおり、システムリスク管理における重要なリスク要素のひとつとして特に優先して取り組む必要があります。また、特権アカウントは複数の作業者間で共有される場合も多く、作業の監視や作業内容の確認時に誰が使用したのか特定する必要があります。
※2 PCI DSSとは、クレジットカード情報および取引情報を保護するために2004年12月、クレジットカードブランド5社が共同で策定した、クレジット業界におけるセキュリティ基準です。
※3 出典:情報セキュリティソリューション市場の現状と将来展望 2010、同2011、2012、2013、2014、2015、2016 【内部漏えい防止ソリューション編】 株式会社ミック経済研究所
【参考資料】
今回、アプラスで採用された3製品は、当社の運用統制ソリューション「ESS SmartIT Operation」を構成する製品群の中で、特権ID管理とその操作内容の記録を担うコンポーネントです。
同製品群は、保険会社、銀行など120以上の金融機関を含む約450社に採用されています。
■ESS AdminControlとは
ESS AdminControlは特権IDの濫用や未承認での使用をエージェントレスで防止・発見する製品で、以下のような特長があります。
・作業者からパスワードを隠ぺいしたまま特権IDの貸出を実現。さらに特権IDのパスワードは定期的に自動でランダム化を実行。パスワードの漏洩による特権IDの誤用・濫用のリスクを大幅に低減
・共有型の特権IDを使用した場合でも、使用者を特定できる専用クライアントツール
・管理対象のサーバーに影響を与えないエージェントレスアーキテクチャー
・特権ID使用時の承認プロセスを職務分掌に沿って確実に実施する専用のワークフロー
・未承認の特権ID使用など、不正アクセスを容易に点検・監査できるレポーティング機能
詳細情報: http://www.et-x.jp/product/eac/
■ESS AutoAuditorとは
ESS AutoAuditorは、システム操作内容の自動監査を実施する製品で、以下のような特徴があります。
・承認された作業申請についてワンタイムアカウントを自動的に払い出し、作業報告後には自動的に抹消することでセキュリティ保持とアカウント管理負荷軽減を実現
・承認された「作業計画」と実際の「作業結果」を自動的に突き合わせ、比較・検証を実施
・ESS RECと連携し、「突合結果レポート」の各作業をESS RECで記録した動画で再生することが可能。
詳細情報: http://www.et-x.jp/product/eaa/
■ID Inspectorとは
ID Inspectorは、共有IDの実操作者を特定・記録する本人確認用の製品で、以下のような特徴があります。
・ログオン直後や、一定時間操作されていない場合、また、任意で設定できる条件を満たした時点で、本人確認用のダイアログを表示し、本人確認ができるまでデスクトップをロックすることで、共有IDを使用する場合も本人確認が可能。
・ICカード使用による本人確認が可能。入退室で使用するカードを利用することで、より厳格な確認体制を実現。
・本人確認の回数や、ログオンに失敗した回数はすべて蓄積され、総合レポートの作成が可能。だれが、どのログオンIDで、いつ操作を行ったのか確認をすることができる。ESS RECを連携すれば各ログオンに合わせた作業内容の記録も取得ができ、どのような操作を行ったのかも併せて取得が可能。
詳細情報: http://www.et-x.jp/product/inspector/
■ESS RECとは
ESS RECはシステム操作をユーザーの視点で克明に記録する証跡管理ツールのデファクトスタンダードで、以下のような特長があります。
・システム運用中の作業内容を動画とテキストで克明に記録
従来のテキスト形式の情報だけでは網羅できないWindowsの操作画面やUNIX、LinuxのGUI画面を利用した作業も動画形式で確実に記録し、より精度の高い点検・監査を実現
・操作中のミスや不正に対する、リアルタイムのアラート送信や画面ロック機能
・より効率的な点検・監査を実現するため、俯瞰的な点検から気になる作業の詳細な確認までをシームレスに実現するESS REC専用の再生ツールや記録データの分析レポート
・多様なシステム環境において一貫した証跡管理を実現するため、WindowsやUNIX/Linuxなどマルチプラットフォームをサポート。シンクライアント、仮想化環境にも柔軟に対応
詳細情報: http://www.et-x.jp/product/ess_rec/
【サービス内容に関するお問い合わせ窓口】
エンカレッジ・テクノロジ株式会社
ソリューション営業部
TEL : 03-3527-2624
FAX : 03-3660-5822
Email: etx-contact@et-x.jp
※文中に記載されている製品名及び会社名は、商標または商標登録です。
